El fallo de seguridad en la IA de soporte de Meta eleva a 34.000 las cuentas de Instagram afectadas

La cantidad de cuentas de Instagram afectadas por la brecha de seguridad en la IA de soporte de Meta ya afecta a 34.000 cuentas. En un primer momento se cifró un total de 20.000 perfiles y, ahora, según documentos internos a los que ha podido acceder el diario The New York Times, se ha dado a conocer que el número de cuentas ha ascendido por el mismo bug en una ruta de código independiente.

Como se dio a conocer a principios de junio, una vulnerabilidad en el sistema de recuperación de contraseñas de Meta permitía aprovechar el nuevo asistente de soporte de la compañía para robar cuentas de Instagram de gran relevancia. En concreto, bastaba con solicitar al chatbot que modificara la dirección de correo electrónico vinculada a la cuenta objetivo, ya que el error en la ruta de código independiente impedía al sistema comprobar si la dirección de correo facilitada coincidía realmente con la asociada a la cuenta de Instagram del usuario afectado.

Tal y como explicó Meta en ese momento, los afectados eran aquellos que no contaban con la autenticación de dos factores (2FA) activada en sus cuentas, entre las que se encontraban la antigua cuenta de la Casa Blanca del expresidente Barack Obama o la de la compañía de monitorización de seguridad en el hogar SimpliSafe.

Algunas cuentas afectadas expusieron información personal

The New York Times ha confirmado que cerca de 20.000 cuentas se vieron comprometidas, exponiendo información personal como la dirección de correo electrónico, el número de teléfono y la fecha de nacimiento, entre otros.

Asimismo, el medio ha revelado que los ciberdelincuentes consiguieron cambiar el nombre de usuario de unas 3.500 cuentas y, como consecuencia, los identificadores originales quedaron disponibles y pudieron ser registrados inmediatamente por otros usuarios. Según recuerda The New York Times, los nombres de usuario más codiciados —especialmente los breves y asociados a perfiles con millones de seguidores— tienen un gran valor económico y pueden venderse a promotores de criptomonedas o a grupos vinculados a actividades políticas.

A ello se suma que, una vez que un tercero se apropia de ese nombre de usuario, recuperar la cuenta se convierte en un proceso mucho más complejo. Meta no puede reasignar de forma automática el identificador original, ya que este pasa a estar vinculado a otra cuenta, por lo que la recuperación requiere un procedimiento más exhaustivo que un simple restablecimiento de contraseña.

Según Meta, los nuevos sistemas de asistencia de IA han mejorado

Esta brecha de seguridad ha puesto en evidencia los problemas a los que se enfrentan los agentes de IA, además, cuando se hicieron públicos estos incidentes, Meta explicó que el problema no estaba relacionado directamente con el asistente de inteligencia artificial, sino con fallos en algunos de los mecanismos de verificación internos del sistema de back-end.

En ese momento, el portavoz de Meta, Andy Stone, afirmó que la empresa ya había corregido el origen del problema. Y actualmente, Meta sigue respaldando el uso de estas herramientas y sostiene que los nuevos sistemas de asistencia impulsados por IA han mejorado los procesos de recuperación de cuentas.